- 배송지·주문내역까지 노출...2차 피해 우려 확산
- G마켓·SSG 주말 긴급점검, 내부통제 강화 나서
- 연 890억 보안투자에도 5개월 무방비, SKT 넘는 과징금 전망
국내 최대 이커머스 업체 쿠팡에서 발생한 대규모 개인정보 유출 사고가 업계 전반으로 파장을 확대하고 있다.
쿠팡은 11월 29일 고객 계정 약 3370만개의 개인정보가 무단 노출됐다고 공지했다. 유출된 정보는 이름, 이메일, 전화번호, 주소, 일부 주문내역 등이다. 해외 서버를 통해 6월 24일부터 무단 접근이 이뤄진 것으로 추정된다.
이번 사고의 심각성은 배송지 정보가 포함됐다는 점이다. 통신사 정보유출과 달리 생활 밀착형 데이터가 노출되면서 스미싱이나 피싱 등 2차 범죄에 악용될 가능성이 제기된다.
유통업계는 신속히 대응에 나섰다. G마켓 관계자는 1일 "주말 내 자체 긴급 보안점검을 실시했고, 후속 방안을 논의 중"이라고 밝혔다. SSG닷컴도 "지난해부터 보안사고가 잦아 정기·수시 점검과 내부통제를 강화했다"고 전했다.
업계는 글로벌 사업자와의 합작 증가도 보안 리스크로 지목한다. G마켓이 올해 알리바바와 합작법인을 설립한 사례처럼 해외 플랫폼과의 결합으로 데이터 관리 범위가 복잡해졌기 때문이다.
공정위는 기업결합 승인 시 국내 소비자 데이터 분리를 조건으로 걸었지만, 알리익스프레스·테무·쉬인 등 중국계 이커머스 진입으로 데이터 접근 범위에 대한 우려가 커진 상황이다.
쿠팡은 11월 18일 약 4500개 계정의 정보유출을 인지하고 당국에 신고했으나, 조사 결과 피해 규모가 3370만건으로 급증했다. 무단 접근에 전직 직원이 연루된 것으로 수사기관에 의해 추정·조사 중으로 접근권한 관리와 모니터링 체계 등 내부통제 점검이 이뤄지고 있다.
쿠팡의 정보보호 투자 규모는 업계 최상위권이다. 한국인터넷진흥원 자료에 따르면 올해 정보기술 부문에 1조9171억원, 정보보호에 890억원을 투입했다. 투자액은 2022년 535억원에서 지속 증가해 최근 4년간 2700억원을 넘는다.
그러나 IT 투자 대비 정보보호 비중은 2022년 7.1%에서 2025년 4.6%로 오히려 감소했다. 대규모 예산에도 수개월간 유출을 감지하지 못했다는 점에서 운영체계의 근본적 문제가 지적된다.
개정 개인정보보호법은 법 위반 시 매출액의 3%까지 과징금을 부과할 수 있다. SK텔레콤은 지난 4월 개인정보 유출로 1347억9100만원의 과징금을 부과받았다. 쿠팡의 피해 규모는 SK텔레콤의 2324만명을 뛰어넘는다.
업계 관계자는 "정확한 유출 경로를 파악하기 위해 내부통제를 포함한 전반적 점검을 진행 중"이라며 "조사 결과에 따라 지속 대응할 것"이라고 말했다.
개인정보보호위원회는 현재 조사를 진행 중이며, 안전조치 의무 위반이 확인되면 제재할 방침이다. 과학기술정보통신부도 민관합동조사단을 구성해 사고 원인 분석과 재발 방지책 마련에 나섰다.
